A41APT case~ Analysis of the Stealth APT Campaign Threatening Japan

丹羽 祐介 ・ 柳下 元 ・ Charles Li ・ 石丸 傑 ・ 佐藤元彦

2020/01/28

Japan Security Analyst Conference 2021

講演者／共著者 紹介

柳下 元マクニカネットワークス株式会社セキュリティ研究センター所属

石丸 傑株式会社カスペルスキーGReAT マルウェアリサーチャー

丹羽 祐介伊藤忠商事株式会社ITCCERT サイバーセキュリティ分析官

佐藤 元彦伊藤忠商事株式会社ITCCERT 上級サイバーセキュリティ分析官

Charles LiTeam T5Chief Analyst of TeamT5

検体解析検体解析

検体解析侵害の特徴分析

インフラ分析 校閲

全体管理

2

帰属分析

対策検討対策検討

アジェンダ

1. キャンペーン概要

2. 検体解析

3. 侵害の特徴

4. インフラについて

5. 帰属に関する考察

6. まとめ

3

１．A41APT 標的型攻撃キャンペーン概要

A41APT 標的型攻撃キャンペーン概要

活動時期：2019年3月から2021年1月 現在

ターゲット：日本 (日系企業／日系企業の海外拠点)

初期侵入：従来のスピアフィッシングと異なり、SSL-VPNを利用

使用マルウェア：DLLを悪用する新種マルウェア※

（※SodaMaster/P8RAT/DESLoader/FYAntiLoader etc.）

公開情報：関連情報が非常に少ない [1][2][3][4]

特徴：ステルス性が高く侵害の発見が非常に困難

5

この標的型攻撃キャンペーンのアクターを、初期侵入時に継続使用するホスト名の特徴 「DESKTOP-A41UVJV」からA41APTと呼称

２．検体解析

２．検体解析

1. DESLoader

2. DESLoaderのPayload• SodaMaster

• P8RAT

• Stager Shellcode

• FYAntiLoader

3. FYAntiLoader

4. xRAT

7

https://www.lac.co.jp/lacwatch/report/20201201_002363.html

NEW

NEW

Update

2-1．DESLoader

別称:SigLoader

DLL side-loadingと暗号化されたシェルコードが埋め込まれた2つのファイル

複数のPE及びシェルコードを段階的にメモリー上で順次復号化

復号化に用いられるアルゴリズムは複数

最終的にペイロードをメモリー上で実行

8

DESLoaderを用いたペイロード感染フロー例

9

policytool.exe

side-loading load

jli.dll vac.dll stage_1.shellcode

decodereflective

dll injection

stage_1.dll

load

pcasvc.dll stage_2.shellcode P8RAT(payload)

decodereflective

dll injection

OutputDebugStringA(), _time64(), rand(), srand()を用いて難読化された検体も確認

Junkコード

jli.dll/stage_1.dll

10vac.dll

MZ

PE

Section table + Section 1 … N

Embedded data

復号化アルゴリズム

key = 0x9F

stage_1.shellcode

AES(CBC mode)

XOR

skipped

skipped

skipped

jli.dll

key = 83H4uREKfFClDH8ziYTH8xsBYa32p3wlIV = 83H4uREKfFClDH8z

• 複数のアルゴリズム（XOR, DES, AES, RSA）があらかじめ定義されており、その中から何をどの順序で使用するか設定されている

• 指定されたDLL内のデータ終端から指定されたサイズのデータを読込、復号化を行う

stage_1.shellcode

11

shellcode

ecipekacSize of buf

Size of code

Section tableSection1 … N

PE

0x00bf5

0x00bfd

0x00c01

0x00c05

0x39a1d

MZ

0x00000

0x39b25

Section table0x001E8

Section 10x01000

Section N0xXXXXX

MZ0x00000

stage_1.dllstage1_1. shellcode

PE0x000E0

▪ Magic_bytesに既知の"ecipekac"以外に{BFAFBFAF}や{9F8F7F6F}を使用する検体も観測

▪ 分割されて埋め込まれていたDLLを正常な順序でメモリー内にロード

別種のstage_2.shellcode

12

• stage_2.shellcodeはstage_1.shellcodeとほとんど同じローダー機能を持つ検体以外に、2種類のシェルコードを観測している。

✓ Stager Shellcode

✓ SodaMaster専用のShellcode

stage_2.shellcode SodaMaster(payload)

RC4

offset data description

0x000 90 90 90 90 90 90 90 90 識別用の8バイトのmagic bytes、データ処理を行う前に比較し確認

0x008 0x11600 暗号化されたデータのサイズ現状観測した検体はすべて同じ値

0x00C A9 5B 7B 84 9C CB CF E8B6 79 F1 9F 05 B6 2B FE

16 bytes RC4 key (検体毎に異なる）

0x01C C7 36 7E 93 D3 07 1E 86 23 75 10 49 C8 AD 01 9F [skipped]

RC4で暗号化されたSodaMasterのペイロード

SodaMaster用のShellcode内には右図の構造体が埋め込まれている

DESLoader TimeLine

13

Compile Date(JST)

File name Algorithm Payload

2019-10-18 CCFIPC64.DLL AES xRAT

2019-10-24 SBIEDLL.DLL DES Stager_Shellcode

2019-12-26 GLIB-2.0.DLL DES Stager_Shellcode

2019-12-28 DBUS-1-3.DLL DES Stager_Shellcode

2020-05-04 jli.dll DES SodaMaster

2020-05-04 jli.dll DES SodaMaster

2020-05-09 DBUS-1-3.DLL DES SodaMaster

2020-05-30 dbus-1-3.dll DES Stager_Shellcode

2020-06-02 uxtheme.dll DES P8RAT

2020-06-04 UXTHEME.DLL AES->DES (RSA XOR Not Used) P8RAT

2020-06-30 VMTOOLS.DLL XOR->AES->DES (RSA Not Used) SodaMaster

2020-06-30 SECUR32.dll AES->DES (RSA XOR Not Used) SodaMaster

2020-07-01 jli.dll DES P8RAT

2020-09-28 jli.dll DES->AES (RSA XOR Not Used) SodaMaster

2020-09-29 jli.dll DES->AES (RSA XOR Not Used) SodaMaster

2020-10-02 vmtools.dll DES->AES (RSA XOR Not Used) SodaMaster

2020-12-21 jli.dll DES SodaMaster

2020-12-26 JLI.dll DES->AES (RSA XOR Not Used) Stager_Shellcode

2020-12-26 sbiedll.dll RSA(AES DES XOR Not Used) Stager_Shellcode

2020-12-27 JLI.DLL DES->AES (RSA XOR Not Used) Stager_Shellcode

2020-12-27 JLI.DLL DES->AES (RSA XOR Not Used) Stager_Shellcode

2020-12-27 JLI.DLL DES->AES (RSA XOR Not Used) Stager_Shellcode

2020-12-31 vmtools.dll XOR->AES (RSA DES Not Used) P8RAT

2021-01-01 jli.dll XOR->AES (RSA DES Not Used) P8RAT

AESやDESは独自のコーディング実装

全ての暗号は使わないケースが多い

暗号を使う順序も変更する

暗号が1つだけ実装されたDESLoaderは、OutputDebugStringA()のコードが多く含まれる

DES: Modified DES / AES: AES-CBC

2-2．DESLoaderのPayload

14

1. SodaMaster

2. P8RAT

3. FYAntiLoader ( ⇒ .NET Loader(ConfuserEx v1.0.0) ⇒ xRAT )

4. Stager Shellcode

SodaMaster

15

別称: DelfsCake、dfls、HEAVYPOT

DESLoaderのペイロードの一つ

ファイルレス型のRAT

コマンドの識別子が「ｄ、ｆ、ｌ、ｓ」

複数検体でコンパイル時間が同じ✓ 5CFE0D92 (Mon Jun 10 07:58:10 2019)

VM環境の確認✓ HKCR¥Applications¥VMwareHostOpen.exe

16

CRC320x8d01ca9f

Mutex = 9FCA018D

base64(RSA key) + 12bytes data

C2 server

Encrypted using RSA key

Mutex値はハードコードされているBASE64エンコードされたRSA鍵を含むデータからCRC32の値を計算し16進数表記で逆順にしたものを使用

初期送信データはBASE64エンコードされたRSA鍵をデコードして使用、暗号化(ランダムに生成されたRC4keyを含む )

以降の送受信データは生成されたRC4によって暗号化

SodaMaster

SodaMaster

RC4 encryption

UserhostPIDExec DateRC4key

P8RAT

17

別称: GreetCake

DESLoaderのペイロードの一つ

ファイルレス型のRAT

バックドアのコマンド識別子は300～309

309は2020年12月以降の検体で実装

306~308の待ち時間設定の文字列の露出なし

主に301のメモリ上にダウンロードした2次PEペイロードの実行

NEW

P8RAT Update

18

仮想マシンのゲストOSに特徴的なプロセスの確認

OSバージョンやホスト、ユーザー名の確認

サンドボックス、アナリストの環境かどうか確認

Stager Shellcode

19

▪ P8RAT、SodaMasterとともにDESLoaderのペイロードとして多く観測されるものがStagerのShellcodeでCobalStrike beacon

▪ 2020年後半の観測からはHTTPヘッダにjQuery要求を装った設定が使われる

2-3. FYAntiLoader

20

DESLoaderのペイロードの一つ

ファイルレス型のローダーモジュール

挑発的なExport関数名

ConfuserEx v1.0.0でパックされた.NET型のローダーを内包

特定のディレクトリを探索し条件に合致したファイルを読み込みペイロードの復号化

最終的なPayloadはxRAT

xRAT感染フロー FYAntiLoader

21

usoclient.exe

side-loading load

CCFIPC64.dll msftedit.prf.coo stage_1.shellcode

decodereflective

dll injection

stage_1.dll

load

msdtcuiu.adi.wdb stage_2.shellcode

decodereflective

dll injection

blob web_lowtrust.config.uninstall xRATstage_3.dll

loadCppHostCLR

FYAntiLoader

2-4. xRAT

22

VERSION 2.0.0.0HOSTS 45.138.157[.]83:443;RECONNECTDELAY 1846872KEY [redacted]AUTHKEY [redacted]DIRECTORY Environment.SpecialFolder.ApplicationDataSUBDIRECTORY SubdirINSTALLNAME Client.exeINSTALL falseSTARTUP falseMUTEX 3n5HUTePmoGqIF8CZanamdGwSTARTUPKEY Quasar Client StartupHIDEFILE falseENABLELOGGER falseENCRYPTIONKEY KCYcz6PCYZ2VSiFyu2GUTAG [redacted]LOGDIRECTORYNAME LogsHIDEDIRECTORY falseHIDEINSTALLSUBDIRECTOR falsedownload_url none

３．侵害の特徴

A41APTの侵害手法

24

スケジュールタスク登録

ADサーバ

C2サーバ

DESLoaderペイロード

In Memory

正規実行ファイル

OR

PowerShell

A41APT

サーバ

イベントログ削除

クレデンシャルダンプ

サーバ※

端末

・・

・

脆弱性、もしくは窃取したクレデンシャルを使用してSSL-VPN経由で侵入

初期侵入 内部探索・横展開 マルウェア永続化 C２通信 痕跡削除

ポートスキャンを行い、RDPSMBの空いているホストを探索。その後、管理者アカウントでRDP接続

正規実行ファイルを利用した、スケジュールタスク登録による永続化

DESLoaderペイロードもしくはPowerShellリモーティングによるC2サーバとの通信

C2とのコミュニケーション終了後にイベントログを削除

※他の侵害されたサーバに対しても同様に痕跡削除を実施しているケースも観測

・・

・

侵害の特徴

1. SSL-VPN製品を利用した初期侵入

2. ネットワークスキャニングとクレデンシャル窃取

3. PowerShellリモーティングによるイベントログ削除

4. スケジュールタスクによるマルウェアの永続化

25

3-1．SSL-VPN製品を利用した初期侵入

26

• 2019年10月には攻撃者が「DESKTOP-A41UVJV」というホスト名で、セッションハイジャックにより内部ネットワークに侵入

• JPCERT/CCでもSSL-VPNを狙った攻撃者について同様の報告あり[4]

• 過去に窃取したクレデンシャルを利用して侵入するケースも観測

3-2． ネットワークスキャニングとクレデンシャル窃取

27

▪ SSL-VPNによる侵入後、内部でネットワークスキャニングを実施し、 RDP(3389/TCP), SMB(445/TCP)の空いているホストを探索

▪ RDPの空いているサーバに対して管理者アカウントを利用してRDPで横展開

RDPによる侵害が多いサーバの種別例

ADサーバ

ファイルサーバ

AV管理サーバ

バックアップサーバ

プリントサーバ

FAXサーバ

ネットワークスキャニングとRDP クレデンシャル窃取

▪ MS提供のAD用CSVエクスポートコマンドラインツールであるcsvde.exeの実行

▪ joeware提供のAdFindの実行

▪ SYSTEM／SECURITY／SAM hiveのダンプ等

https://www.joeware.net/freetools/tools/adfind/https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc732101(v=ws.11)

3-3． PowerShell リモーティングによるイベントログ削除

28

• PowerShellリモーティングのセッション終了時のイベントログ

• Windows PowerShell.evtxEID: 403

• 「C2アドレス」と出力先の「*.nlsファイル名」は変更されるものの、それ以外は共通

⇒共通のツールによるものと推測

3-4．スケジュールタスクによるマルウェアの永続化

29

▪ DESLoaderを読込む正規実行ファイルを15分毎に実行するタスクスケジューラを登録

▪ 同じスケジュールタスク名の作成は観測されておらず、侵害ホストによって異なる傾向

過去に観測した不正に登録されたスケジュールタスク

30

スケジュールタスク名 正規実行ファイル名

¥Microsoft¥Windows¥Sysmain¥HybridDriveCachePrepopulate HybridDrive.exe

¥Microsoft¥Windows¥Shell¥FamilySafetyMonitor wpcmon.exe

¥Microsoft¥Windows¥NetworkAccessProtection¥NAPStatus UI NAPStatus.exe

¥Microsoft¥Windows¥SideShow¥AutoWake AutoWake.exe

¥Microsoft¥Windows¥SystemRestore¥SR srtasks.exe

¥Microsoft¥Windows¥Shell¥FamilySafetyUpload FamilySafety.exe

¥Microsoft¥Windows¥File Classification Infrastructure¥Property Definition Sync DefinitionSync.exe

¥Microsoft¥Windows¥UpdateOrchestrator¥Refresh Settings usoclient.exe

¥Microsoft¥Windows¥WindowsUpdate¥AUSessionConnect AUSession.exe

¥Windows¥System32¥Tasks¥Microsoft¥Windows¥Shell¥WindowsParentalControls ParentalControls.exe

¥Microsoft¥Windows¥UpdateOrchestrator¥Schedule Retry Scan usoclient.exe

¥Microsoft¥Windows¥LanguageComponentsInstaller¥ReconcileLanguageResources DiagPackage.exe

¥Microsoft¥Windows¥Setup¥EOSNotify EOSNotify.exe

¥Microsoft¥Windows¥SkyDrive¥Idle Sync Maintenance Task IdleSync.exe

４．インフラについて

インフラについて

32

1. 侵入に使用されるホスト名

2. C2に使用されるインフラの特徴

4-１．侵入に使用されるホストの特徴

33

▪ 特徴的なホスト名を使用してIPアドレスを変更しながら侵入を試みる傾向がある

✓過去に観測した侵害に使用されたホスト名

DESKTOP-A41UVJV

dellemc_N1548P

▪ C2サーバのIPとは異なる侵入用のIPを用いる傾向がある

▪ C2についてはIPアドレスを多用し、ドメインは使用しない傾向がある。

▪ 観測したC2の分布より、国／ASに偏りは少なく、IPアドレスを使いまわさない傾向がある。

4-2．C2に使用されるインフラの特徴

34

５．帰属に関する考察

A41APTの帰属に関する考察

36

1. APT10との関連性

2. BlackTechとの関連性

5-1．APT10との関連性

37

※2020年のSodaMasterと比較して、２コマンドのみサポート

▪ トルコへの標的型攻撃キャンペーンでAPT10の関与に言及 [5]

▪ 2019年3月にSodaMasterの初期バージョン(x86)の存在を確認

▪ A41キャンペーンで観測したxRATも、2019年にBlackBerry Cylanceのレポートと共通のTTPsを確認 [6]

Run dll payload

Run Shellcode payload

xRAT/QuasarRATSodaMaster

ShellCode

rare-coins[.]com

Turkish Victim

APT10

Attribute

AttackUsed in attack

connect

load

- Multilayers loading- CPPHostDLR loader- F**jYouAnti export- Look for payloads under

“C:¥Windows¥Microsoft.Net”

Common TTPs

Common TTPs

MenuPass/QuasarRATBackdoor Report

5-2．BlackTechとの関連性

38

▪ SodaMasterとTSCookie[7]間の共通の特徴を確認

▪ 初期段階で感染ホストより収集する情報が同じ・ユーザー名・コンピュータ名・現在のプロセスID

▪ 侵害された複数のホスト上でSodaMasterとTSCookieの２つのマルウェアを確認

SodaMaster TSCookie

６．まとめ

Wrap up：A41APTキャンペーン

40

ADVERSARY（A41APT）

INFRASTRUCTURE

VICTIMS

CAPABILITIES

▪ APT10と強い関連性

▪ BlackTechと関連性

▪ SSL-VPNによる侵害

▪ 横展開にRDPを多用（主にサーバ）

▪ DLL-Sideloadingを多用

▪ 痕跡を削除

▪ C2にはIPアドレスを多用（ドメイン使用なし）

▪ C2のIPアドレスの使い回しが少ない

▪ 侵入に使用するIPとC2のIPは異なる

▪ 日系企業がターゲット

▪ 日系企業の海外拠点も対象

▪ 製造業含む幅広い業種

Wrap up： TTPs整理（MITRE ATT&CK Mapping）

Tactics Techniques

Initial Access External Remote Services (T1133) : 窃取したと思われるアカウントでSSL-VPNにアクセス

Execution Command and Scripting Interpreter: PowerShell (T1059.001)Base64で難読化されたPowerShellコマンド (イベントログの削除)Windows Management Instrumentation (T1047) : セキュリティ対策製品のサービスをWMICで収集

Persistence Scheduled Task/Job: Scheduled Task (T1053.005)

Privilege Escalation Hijack Execution Flow: DLL Search Order Hijacking (T1574.001)

Defense Evasion Deobfuscate/Decode Files or information (T1140)Indicator Removal on Host: Clear Windows Event Logs (T1070.001)Hijack Execution Flow: DLL Search Order Hijacking (T1574.001)

Credential Access OS Credential Dumping: Security Account Manager (T1003.002)OS Credential Dumping: NTDS (T1003.003)

Discovery Account Discovery: Domain Account (T1087.002)Domain Trust Discovery (T1482)Software Discovery: Security Software Discovery (T1518.001)

Lateral Movement Remote Services: Remote Desktop Protocol (T1021.001)

Collection Archive Collected Data: Archive via Utility (T1560.001) : WinRARによる圧縮

Command and Control Application Layer Protocol: Web Protocols (T1071.001)Data Encoding: Non-Standard Encoding (T1132.002)

41

Wrap up：本キャンペーンの特徴

42

✓ EDR/FSAの検出の急所をついている

• スピアフィッシュメールからのマルウェア起点の侵入ではなく、SSL-VPN経由で攻撃者の

マニュアルオペレーションによりディスクにマルウェアが書き込まれる

(正規ファイル・ローダー・暗号ファイル)

• 海外を含むグループ関連企業から侵入される

• マルウェアの設置先はサーバーが圧倒的に多く、かつ感染させる台数は非常に少ない

• 同時期に検出された検体でもC2アドレスの異なるケースが大半であり、使い回しは少ない傾向

✓ 侵入後にはオペレーションの粗い部分も散見

• ネットワークディスカバリー、RDPの多用

• 共通したイベントログの削除の痕跡

• SSL-VPN経由で接続した特徴的な攻撃者のホスト名がイベントログに記録

本キャンペーンに対する対策例

43

ユーザ企業

ベンダー(SOC)

SSL-VPN運用

更なる脅威の可視化

ガバナンス（海外拠点／子会社向け）

• 多要素認証の導入検討• パッチ適応運用の徹底• アクセスの監視

• NTAによるネットワークの異常検出• サーバに対するセキュリティ対策導入• EDR／FSA導入による異常検出• Yaraによるローダ／ペイロードの検出

• 情報共有の仕組み（インシデント報告等）• 同水準のセキュリティ対策の検討、導入• 脅威検出基準の共有・統一• セキュリティ運用状況の共有

監視強化

• 管理者アカウントの認証（成功／失敗）監視• イベントログ削除の監視• 資産管理外ホストからの不審なログイン監視• SSL-VPNログの不審なログイン監視

（ホワイトリスト外からのアクセス等）

認証に対する監視強化

• ユーザー組織とログインのホワイトリスト／ブラックリストに対する認識合わせ(ホスト名、ユーザ名、IP、時間帯等の条件からチューニングした条件でアラートをコントロール)

本キャンペーンに対する対策例（侵害方法ベース）

44

スケジュールタスク登録

ADサーバ

C2サーバ

DESLoaderペイロード

In Memory

正規実行ファイル

OR

PowerShell

A41APT

サーバ

イベントログ削除

サーバ

端末・

・・

・多要素認証の導入・パッチ適応運用の徹底・海外からの不審なログイン監視

初期侵入 内部探索・横展開 マルウェア永続化 C２通信 痕跡削除

・NTAによるNW異常監視・サーバに対するセキュリティ対策強化、EDR／FSAによる異常監視・管理者アカウントの認証（成功／失敗）の監視・資産管理外のホストからの不審なログイン監視

・不審なスケジュールタスクイベント作成の監視

・Yaraによるペイロード検出検体解析によるC2特定・遮断

・イベントログによる不審なPowerShellリモーティングの痕跡によるC2特定・遮断

・不審なイベントログ削除の痕跡の監視

・・

・

MFA

パッチ運用

監視強化

監視強化 監視強化

監視強化

NTA NTA

イベントログ監視

Yaraによるペイロード検出

おわりに

45

本攻撃キャンペーンは非常にステルス性が高く検出が困難ですが、侵害を発見できないこと

はありません。

侵害対象がエンドポイントからサーバに、侵入経路がスピアフィッシングからSSL-VPNに変

遷しており、セキュリティ対策の見直しが必要となります。

小さな異常から攻撃を検出・防御できるよう、日々のセキュリティ運用の徹底、自組織の環

境の穴を徹底的に見直して頂き、その際に本講演が対策検討の一助となれば幸いです。

参考文献

1. 【緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を確認https://www.lac.co.jp/lacwatch/report/20201201_002363.html

2. Japan-Linked Organizations Targeted in Long-Running and Sophisticated Attack Campaignhttps://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

3. https://twitter.com/Int2e_/status/1333501729359466502?s=20

4. Pulse Connect Secure の脆弱性を狙った攻撃事案https://blogs.jpcert.or.jp/ja/2020/03/pulse-connect-secure.html

5. APT10 THREAT ANALYSIS REPORT (ADEO IT Consulting Services)https://adeo.com.tr/wp-content/uploads/2020/02/APT10_Report.pdf

6. Threat Spotlight: MenuPass/QuasarRAT Backdoorhttps://blogs.blackberry.com/en/2019/06/threat-spotlight-menupass-quasarrat-backdoor

7. https://blogs.jpcert.or.jp/ja/2018/03/tscookie.html

46

IoCs

47

xRATが読み込むペイロードファイルパス

Microsoft.NET¥test¥Framework¥v4.0.30319¥Config¥web_lowtrust.config.uninstall

SSL-VPN侵害時に利用したホスト名

DESKTOP-A41UVJV

dellemc_N1548P

MD5 ファイル名 ペイロード コメント

f6ed714d29839574da3e368e4437eb99 usoclient.exe xRAT 正規EXE

dd672da5d367fd291d936c8cc03b6467 CCFIPC64.DLL xRAT DESLoader

335ce825da93ed3fdd4470634845dfea msftedit.prf.cco xRATEncrypted stage_

1.shellcode

f4c4644e6d248399a12e2c75cf9e4bdf msdtcuiu.adi.wdb xRATEncrypted

stage_2.shellcode

019619318e1e3a77f3071fb297b85cf3web_lowtrust.confi

g.uninstallxRAT Encrypted xRAT

7e2b9e1f651fa5454d45b974d00512fb policytool.exe P8RAT 正規EXE

be53764063bb1d054d78f2bf08fb90f3 jli.dll P8RAT DESLoader

f60f7a1736840a6149d478b23611d561 vac.dll P8RATEncrypted

stage_1.shellcode

59747955a8874ff74ce415e56d8beb9c pcasvc.dll P8RATEncrypted

stage_2.shellcode

c5994f9fe4f58c38a8d2af3021028310 80f55.rec.dll SodaMaster(x86)

037261d5571813b9640921afac8aafbe 10000000.dll SodaMaster(x86)

bca0a5ddacc95f94cab57713c96eacbf ResolutionSet.exe SodaMaster 正規EXE

cca46fc64425364774e5d5db782ddf54 vmtools.dll SodaMaster DESLoader

4638220ec2c6bc1406b5725c2d35edc3wiaky002_CNC175

5D.dllSodaMaster

Encrypted stage_1.shellcode

d37964a9f7f56aad9433676a6df9bd19 c_apo_ipoib6x.dll SodaMasterEncrypted

stage_2.shellcode

C2 ペイロード

45.138.157[.]83 xRAT

151.236.30[.]223 P8RAT

193.235.207[.]59 Stager Shellcode

www.rare-coisns[.]com SodaMaster(x86)

88.198.101[.]58 SodaMaster

Any Questions?